[英]Is it possible to load and run script in the src of an html img tag?
我正在構建一個應用程序(不是用於生產,某種考試),它將圖像存儲在 firebase 存儲中,我不知道如何使用安全規則正確保護它們,因為 firebase 無法讀取信息(允許成員訪問資源) 來自 Firestore 數據庫。
所以我在想,讓圖像在沒有安全規則的情況下打開的最大威脅是什么。 它可能會包含不需要的圖像,其他人可以得到它們。 這些圖像並不是真正的高價值圖像,因此它們是否被損壞並不重要。
但是我想到如果有人將圖像更改為腳本並且客戶端嘗試將其加載到 html img 標簽中,會發生什么?
您還看到了哪些其他威脅?
您無法通過將代碼注入 img 標簽來運行代碼。 這將是瀏覽器中的一個巨大的安全漏洞(這在遙遠的過去實際上是某些瀏覽器中的一個問題)。
Firebase 存儲下載 URL 始終可供擁有 URL 的任何人訪問。 安全規則不適用。 阻止這種情況的唯一方法是在 Firebase 控制台中撤銷其令牌,這會使 URL 停止為所有人工作。
如果您想對用於加載圖像的 URL 施加一些安全性,則 URL 需要由一些后端代碼提供服務,該代碼在將圖像內容發送到客戶端之前檢查任何權限。
如何在我的 html 中使用 json 腳本<script> tag and populate the data in the <img src=???/>
[英]How can I use the json script on my html in the <script> tag and populate the data in the <img src=???/>
HTML是 <img src=“<script> 一些JavaScript </script> ”>允許嗎?
[英]Html is <img src=“<script>Some javascript</script>” > allowed?
如何使用html文件作為圖像文件的來源 <img src=“”> 標簽
[英]How to use a html file as a source of image file in <img src=“”> tag
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
